????????????????????¨????°???¨??§????????°???????¨??????¬???????????°?????±??????????????§??????
このスレッドはクローズされています。記事の閲覧のみとなります。
 bind-chrootの導入について |
 |
- ????????? 2007/11/20 01:52
- ????????? V2
-
?不明点・障害内容:chrootインストール後の、ファイルのオーナ:グループについて
?Distribution Version:CentOS5
?Service Name Version:BIND 9.3.3rc2
?ネットワーク構成:DHCPとDNSの連携・LAN(PC2台)
bind-chootをインストールしましたが、現状で、chrootパスでアクセス禁止にできたのかが分かりません。
データは、以下の通りです。
---------------------------------------------------
ps -ef | grep named
named /usr/sbin/named -u named -c /etc/named.caching-nameserver.conf -t /var/named/chroot
---------------------------------------------------
ls -l /etc/named.caching-nameserver.conf
lrwxrwxrwx 1 root named /etc/named.caching-nameserver.conf -> /var/named/chroot//etc/named.caching-nameserver.conf
---------------------------------------------------
ls -l /var/named/
合計 12
lrwxrwxrwx 1 root named *.168.192.in-addr.arpa.db -> /var/named/chroot//var/named/*.168.192.in-addr.arpa.db
lrwxrwxrwx 1 root named *.168.192.in-addr.arpa.db.jnl -> /var/named/chroot//var/named/*.168.192.in-addr.arpa.db.jnl
drwxr-x--- 6 root named chroot
drwxrwx--- 2 named named data
lrwxrwxrwx 1 root named localdomain.zone -> /var/named/chroot//var/named/localdomain.zone
lrwxrwxrwx 1 root named localhost.zone -> /var/named/chroot//var/named/localhost.zone
lrwxrwxrwx 1 root named named.broadcast -> /var/named/chroot//var/named/named.broadcast
lrwxrwxrwx 1 root named named.ca -> /var/named/chroot//var/named/named.ca
lrwxrwxrwx 1 root named named.ip6.local -> /var/named/chroot//var/named/named.ip6.local
lrwxrwxrwx 1 root named named.local -> /var/named/chroot//var/named/named.local
lrwxrwxrwx 1 root named named.zero -> /var/named/chroot//var/named/named.zero
drwxrwx--- 2 named named slaves
lrwxrwxrwx 1 root named aaa.bbb.com.db -> /var/named/chroot//var/named/aaa.bbb.com.db
lrwxrwxrwx 1 root named aaa.bbb.com.db.jnl -> /var/named/chroot//var/named/aaa.bbb.com.db.jnl
------------------------------------------------------
tree -pug /var/named/chroot/etc/
/var/named/chroot/etc/
|-- [-rw-r--r-- root root ] localtime
|-- [-rw-rw---- root named ] named.caching-nameserver.conf
|-- [-rw-r----- root named ] named.rfc1912.zones
|-- [-rw-rw---- root named ] named.aaa.bbb.com.zones
`-- [-rw-r--r-- root named ] rndc.key
-------------------------------------------------------
tree -pug /var/named/chroot/var/
/var/named/chroot/var/
|-- [drwxrwx--- root named ] named
| |-- [-rw-rw---- named named ] *.168.192.in-addr.arpa.db
| |-- [-rw-rw---- named named ] *.168.192.in-addr.arpa.db.jnl
| |-- [drwxrwx--- named named ] data
| | |-- [-rw-rw---- named named ] named.run
| | `-- [-rw-rw---- named named ] named_mem_stats.txt
| |-- [-rw-r----- root named ] localdomain.zone
| |-- [-rw-r----- root named ] localhost.zone
| |-- [-rw-r----- root named ] named.broadcast
| |-- [-rw-r----- root named ] named.ca
| |-- [-rw-r----- root named ] named.ip6.local
| |-- [-rw-r----- root named ] named.local
| |-- [-rw-r----- root named ] named.zero
| |-- [drwxrwx--- named named ] slaves
| |-- [-rw-rw---- named named ] aaa.bbb.com.db
| `-- [-rw-rw---- named named ] aaa.bbb.com.db.jnl
|-- [drwxrwx--- root named ] run
| |-- [drwxr-xr-x root root ] dbus
| | `-- [srwxrwxrwx root root ] system_bus_socket
| `-- [drwxrwx--- named named ] named
| `-- [-rw-r--r-- named named ] named.pid
`-- [drwxrwx--- named named ] tmp
以上ですが、
/etc/named.caching-nameserver.confと、/var/named/配下のファイル(リンク)のオーナとグループが、
「lrwxrwxrwx 1 root named」となっています。ここは、
「lrwxrwxrwx 1 root root」 のように、グループはrootでなくても良いのでしょうか?
また、実際にchrootが適用されているのを具体的に確かめるにはどうしたら良いでしょうか?
ご教示を、よろしくお願いします。
|
■ コンテンツ関連情報
 Re: bind-chrootの導入について ( No.1 ) |
|
- ????????? 2007/11/21 01:04
- ????????? Jin
-
Jinです。
先ず、「bind-chroot」の目的および機能を再度確認してください。
namedは、実行時に「named」ユーザの権限で実行されますので、rootの権限で実行される
より安全と言え更にchroootを行うことでアクセス範囲を限定しセキュリティを保っています。
ファイルやディレクトリのオーナ/グループは、実行時に書き込みを行わない限り(設定内容による)
rootでもnamedでも実行できれば関係ないともいます。
確認方法ですが、本サイトにも記載されていますが、「nslookup」や「dig」コマンドなどで
定義されている内容(正引きや逆引き)が正常に機能すればよいのではないでしょうか。
|
| Re: bind-chrootの導入について ( No.2 ) |
|
- ????????? 2007/11/21 21:59
- ????????? V2
-
はじめまして、Jinさん。
chroot後のファイル(/var/named/chroot配下のもの)のパーミションは、
namedでもrootでもいいことが分かりました。
実際には、一般に、この場合のオーナ/グループは、皆さんはどうしているのでしょうか?
私は、セキュリティから、named:namedに変更しようと思うのですが。
できれば、Jinさんの考えをお聞かせ願えればと思います。
|
| Re: bind-chrootの導入について ( No.3 ) |
|
- ????????? 2007/11/21 23:40
- ????????? Jin
-
Jinです。
こんばんは、V2さん。
私は、「caching-nameserver」の環境をインストールしたことがないので正確な情報提供は
出来ませんが、「bind」および「bind-chroot」をインストールした場合(CentOS4)では、
オーナ/グループは、全てnamedになっていて、オーナがrootになっている様な状況は見たことは
ありません。
今回のファイル構造から見ると構築されているのは、外部に公開していない内部のキャッシュ
専用のnamedと見えますので、オーナがrootでもnamedでもあまり気にする必要はないと思います。
セキュリティの観点からであれば、ファイルのオーナは、namedよりrootの方が良いと思います。
bindでは、「バッファオーバフローを用いた攻撃」が有名ですが、セキュリティ対策として
以下の対策(歴史)が行われました。
・namedが「バッファオーバフローを用いた攻撃」でサーバ上で不正なバイナリが実行された
場合、rootの権限で実行されている場合、攻撃コードもrootの権限で実行されるので
非常に危険です。
→ namedを一般ユーザ(namedユーザ)の権限で実行することを推奨(既定値)する。
→ namedをchroot(通常は、/var/named/chroot)の環境下で実行することにより
不正なバイナリが実行されてもシステムに悪影響を及ぼす範囲を局所化する
事により被害を最小限に抑えることが出来る。
よって、何処までセキュリティの強化を行うかによりますが、外部公開している
namedでファイルのオーナもnamedの場合、そのファイルを改竄される可能性が
発生します。(確率的には??ですが。)
よって、ファイルのオーナがrootであれば、ファイルの改竄防止にはなると思います。
但し、あまりファイルやディレクトリのオーナを変更すると正常に動作しなくなりますので
十分な注意が必要です。
|
| Re: bind-chrootの導入について ( No.4 ) |
|
- ????????? 2007/11/22 22:46
- ????????? V2
-
Jinさん、今晩は。
丁寧な説明をありがとうございます。
具体的に書いてくださったので、非常に助かりました。
>今回のファイル構造から見ると構築されているのは、外部に公開していない内部のキャッシュ
>専用のnamedと見えますので、オーナがrootでもnamedでもあまり気にする必要はないと思います。
DynamicDNSなので、ファイル構造はそうなのですが、外部に公開するつもりです。(^^;
今後も、機会があれば、よろしく、ご教示ください。
(お待ち申し上げております。m(_ _)m)
|
■ その他